Pamatujete si na první sporné situace, se kterými se bylo třeba vypořádat s příchodem GDPR? Jedním z tvrdých oříšků zejména v rámci e-commerce (ale i HR) byla a stále je funkce tell-a-friend (volně přeloženo jako „řekni to kamarádovi“), a to v různých modulacích, jako je doporučení služby, wishlist a podobně. Situace, kdy nám jeden ze subjektů údajů sděluje informace o jiném subjektu, bývají totiž velmi komplikované – a to s ohledem na fakt, že s tímto subjektem údajů následně technicky komunikujete vy (respektive vaše platforma).
Světlo do toho bohužel nevnesl ani belgický úřad pro ochranu osobních údajů, který udělil sociální platformě Twoo pokutu 50 tisíc eur (v přepočtu 1 330 500 Kč).
Proč je funkce tell-a-friend problematická?
Funkce tell-a-friend je velmi jednoduchá a najdeme ji prakticky na každé sociální síti či sociální platformě. Zjednodušeně řečeno, jde o způsob, jak poskytovatel služby zvyšuje svůj dosah. Různými způsoby totiž motivuje subjekty údajů, aby samy rozšiřovaly uživatelskou základu a přiváděly do služby jiné osoby. Jeden příklad za všechny – LinkedIn (v podobné formě i Facebook a další) umožňuje, abyste zadali e-mail svého kamaráda a zaslali mu prostřednictvím služby pozvánku, aby se stal vaším přítelem, popřípadě začal využívat službu či se přidal do vašeho okruhu uživatelů. Pro další příklad můžete nahlédnout i na sociální platformu Twoo.
Proč je tato funkce problematická, vidíme na první pohled – předně, na základě jakého právního titulu bychom takové osobní údaje zpracovávali? A jak takového „kamaráda“ budeme informovat? Aby to bylo ještě komplikovanější, v případě e-mailové adresy (nebo telefonního čísla v případě SMS) víme, že se na předmětný případ vztahuje i směrnice ePrivacy, respektive zákon č. 480/2004 Sb., o některých službách informační společnosti, který nám určuje, za jakých okolností můžeme subjektu údajů na jeho adresu zaslat cokoli, co by mohlo být kvalifikováno jako obchodní sdělení.
Jaké jsou možnosti řešení?
Nabízí se myšlenka, zda by nebylo možné zpracování osobních údajů zdůvodnit oprávněným zájmem. Pokud však samotná pozvánka splňuje podmínky obchodního sdělení, můžeme na oprávněný zájem zapomenout, protože nám k zaslání nepomůže (kromě tzv. zákaznické výjimky v případě stávajícího uživatele, ke které se dostaneme níže).
Pokud pozvánka splňuje podmínky obchodního sdělení, oprávněný zájem vám zpravidla nepomůže
Této otázce se již věnovala skupina WP29 v rámci stanoviska č. 5/2009 k internetovým sociálním sítím. Ve vztahu k poskytovatelům sociálních sítích totiž WP29 uvedla, že ne všechna komunikace nutně musí spadat pod směrnici ePrivacy (tedy i pod zákon č. 480/2004 Sb.), respektive oblast obchodních sdělení. Některé sociální sítě totiž mohou nabízet službu elektronických komunikací (jako například e-mail), přičemž v takovém případě se zákaz používání elektronické pošty nevztahuje na tzv. osobní sdělení. Funkce tell-a-friend je tedy „v pořádku“ za předpokladu, že:
odesílateli ani příjemci nejsou poskytnuty žádné pobídky,
poskytovatel nevybírá příjemce sdělení – činí tak pouze samotný subjekt údajů,
v rámci komunikace musí být jednoznačně uvedena totožnost odesílajícího uživatele, tedy subjektu údajů,
odesílající subjekt údajů musí znát celý obsah sdělení, které bude jeho jménem zasláno.
V praxi tato kritéria ale činí problém. Posuzovaná platforma Twoo je totiž prakticky sociální síť, která umožňuje, aby mezi sebou lidé jejím prostřednictvím komunikovali. Mimo to však (skoro jako každá sociální síť) na základě souhlasu vyžaduje přístup do adresáře a umožnění poslat těmto kontaktům pozvánku do aplikace. Právě to se nelíbilo belgickému úřadu.
Zákaz používání elektronické pošty se nevztahuje na osobní sdělení
Předně je totiž nutno rozlišovat mezi tím, zda je pozvánka do sítě zasílána současným uživatelům sítě z řad kontaktů, nebo neuživatelům z řad kontaktů. V případě uživatelů by se totiž nemuselo jednat o obchodní sdělení, ale o osobní sdělení, pokud budou splněny výše uvedená kritéria (což je samo o sobě v praxi velmi ojedinělé). V takovém případě se vlastně jedná o novou operaci zpracování, zahrnující zpracování osobních údajů uživatelů, kteří již v minulosti se shromážděním osobních údajů vyjádřili souhlas, a tudíž lze uvažovat o zpracování osobních údajů na základě nezbytnosti pro splnění oprávněného zájmu (popřípadě splnění smlouvy v závislosti na nastavení a fungování služby a jejich podmínek).
Nicméně v případě, že se nejedná o stávající uživatele, dle belgického úřadu (a v zásadě z logiky věci) platí ePrivacy a bez souhlasu adresáta se neobejdete. GDPR je založeno na principu, že subjekt má mít kontrolu nad svými osobními údaji, a velmi těžko se dovozuje oprávněný zájem v případě, kdy o takovém zpracování subjekt údajů vůbec neví a nemůže ho ani vyloučit. To pak pochopitelně platí i pro ePrivacy.
Jaké to má praktické důsledky?
Důsledky jsou v tomto bohužel jednoznačné. Sama platforma Twoo opouští funkci tell-a-friend. Co to tedy znamená pro ty, kdo umožňují prostřednictvím svých služeb zasílat doporučení novým potenciálním uživatelům, popřípadě přeposílají inzeráty, které potenciálním uchazečům prostřednictvím jejich platformy zasílají jejich přátelé? Nebudou to mít snadné.
Získat souhlas adresáta je prakticky nemožné a zaslání jakéhokoli sdělení komplikované. Přestože belgický úřad dovodil možnost zasílat v rámci funkce tell-a-friend „osobní sdělení“ a v určitých případech i možnost užití nezbytného zájmu (zde však pouze v případě kontroly kontaktů a selekce „neuživatelů“), z pohledu ochrany soukromí se jedná o velmi komplikovanou otázku, kterou i sociální platforma Twoo raději vyřešila tím, že danou funkci odstranila. Z pohledu digitálního marketingu to tedy není pozitivní zpráva, ale nezbývá než se daným podmínkám přizpůsobit dřív, než dojde na další sankce.
Článek byl publikován v Elektronickém zpravodaji pro pověřence dne 9.7.2020